home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.116

< prev

next >

Wrap

Text File  |  1995-01-03  |  12KB  |  241 lines

---

1. VIRUS-L Digest             Tuesday, 16 May 1989        Volume 2 : Issue 116
2.  
3. Today's Topics:
4. "Virus-Proof" PC - an oxymoron?
5. Certus (PC) disagreement
6. Comment on Stop a BOOT virus at boot time (PC)
7. Certus (PC)
8. PC Virus List
9.  
10. ---------------------------------------------------------------------------
11.  
12. Date:    Mon, 15 May 89 10:26:04 EDT
13. From:    luken@ubu.cc.lehigh.edu (Kenneth R. van Wyk)
14. Subject: "Virus-Proof" PC - an oxymoron?
15.  
16. I just saw this in the May 1989 Byte magazine (page 65):
17.  
18. "The Immune System, a DOS-based 80286 computer, is designed for
19. security by one of the largest computer security companies in the
20. nation.
21.  
22. Along with some things you'd expect on a standard clone, such as 1 Mb
23. of RAM, a 1.2 Mb 5 1/4 inch floppy disk drive, and a 40 Mb hard disk
24. drive, there's a 'virus-proof' feature that keeps unauthorized .EXE
25. and .COM files from entering or running on the system.
26.  
27. There's also a modem package that purports to secure and encrypt
28. real-time conversations, as well as provide a system-use audit trail,
29. a system-access audit trail, and nearly 25 more security features.
30. American Computer Security Industries has even gone so far as to
31. secure the clock so only specified users can set or change the time."
32.  
33. Sounds like quite a claim.  Anyone have any more specific information
34. or comments?
35.  
36. Ken
37.  
38. ------------------------------
39.  
40. Date:    Mon, 15 May 89 13:42:52 EDT
41. From:    "W. K. (Bill) Gorman" <34AEJ7D@CMUVM.BITNET>
42. Subject: Certus (PC) disagreement
43.  
44. Disagree? With what? I reported precisely what happened when this
45. routine was evaluated here. One installation went flawlessly, the
46. next produced the events previously reported. I am certainly glad
47. to hear of the experiences of others with this package - but since
48. I was not with tham at the time, I cannot "disagree" with their re-
49. sults any more than they can "disagree" with mine. We each report
50. the results of our investigations, be they convergent or divergent,
51. according to our perceptions at the time. :-)
52. ^^^^^^^^^ ^^ ^^^ ^^^^^^^^^^^ ^^ ^^^ ^^^^
53. .........................................................................
54. |W. K. "Bill" Gorman                              Foust Hall # 5        |
55. |PROFS System Administrator   E-Mail & Message    Computer Services     |
56. |Central Michigan University Encryption/Security  Mt. Pleasant, MI 48859|
57. |34AEJ7D@CMUVM.BITNET       Virus Countermeasures (517) 774-3183        |
58. |_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_|
59. These comments reflect personal opinions held at the time this was written.
60. Copyright (C) 1989 W. K. Gorman. All rights reserved.
61.  
62. ------------------------------
63.  
64. Date:    Mon, 15 May 1989 13:47:12 EDT
65. From:    Steven C. Woronick <XRAYSROK@SBCCVM.BITNET>
66. Subject: Comment on Stop a BOOT virus at boot time (PC)
67.  
68.    Stanley Fragakis suggests altering boot sectors so that the boot
69. program over-writes everything in memory with F4FA, but this of course
70. kills the machine, should you attempt to boot from such a disk(ette).
71. So I must assume that the intention is to do this only to non-system
72. diskettes which nobody in their right mind would want to boot from
73. anyway (although some of us try).  Hence, the penalty for trying to
74. boot a non-system diskette is no longer the usual message, but a
75. (temporarily) dead computer which must be powered down and back up
76. again.  Of course, going through this a few times ought to be good
77. memory-training for remembering to remove non-system diskettes before
78. re-booting (ironically, if you remembered not to do this, all the
79. time, then it would be entirely unnecessary).  I don't however
80. understand the concern over halting the PC in a proper manner if it's
81. dead anyway.  Correct me if I'm wrong.
82.  
83. Steven C. Woronick     | Disclaimer:  These are my own opinions.
84. Physics Dept.          |              Check it out for yourself!
85. SUNY at Stony Brook    |
86. Stony Brook, NY  11794 |
87. Acknowledge-To: <XRAYSROK@SBCCVM>
88.  
89. ------------------------------
90.  
91. Date:    Mon, 15 May 89 16:29 EDT
92. From:    "J. D. Abolins" <OJA@NCCIBM1.BITNET>
93. Subject: Certus (PC)
94.  
95. While I have not tested FoudationWare's CERTUS package, I have tested
96. two versions of its predecessors (VACCINE and CORPORATE VACCINE).
97.  
98. With each version improvements were definitely made. When I tested
99. VACCINE, I had it crash during installation due to insufficient disk
100. space. When that happens, one cannot move forward nor backwards, so to
101. say. Regular software will not run because VACCINE has not approved it
102. and VACCINE could not be uninstall using its uninstall utility unless
103. it was properly installed. In CORPORATE VACCINE, the manual addresses
104. this and other problems.
105.  
106. My overall impression of FoundationWare's products is that they are
107. dealing with various methods of protection (fine) but they are very
108. strict and require much "fine-tuning". They are best used on systems
109. that need the special security feautures, that are intended for
110. limited functionality (a word processing/database workstation) and
111. that are stable (not undergoing constant change).
112.  
113. NOTE: This is my last week at this ID. I am transferring to another
114. position, one that doesn't entail working with NCC. Although I may
115. have an alternate BITNET access later on, little is known now. Should
116. anybody need ot contact me-
117.  
118. By post: J. D. Abolins
119.          301 N. Harrison Street; # 197
120.          Princeton, NJ 08540
121. By phone: (609) 448-7814
122. By BITNET via Ralph Mortensen:  RMX@NCCIBM1
123. Thank you.
124.  
125. ------------------------------
126.  
127. Date:    Tue,  16 May 89 15:08:24 +0300
128. From:    Y. Radai <RADAI1@HBUNOS.BITNET>
129. Subject: PC Virus List
130.  
131.   With the exponential increase in the frequency of new PC virus re-
132. ports, I've come to feel that I'm getting lost without a catalog of
133. such viruses.  Evidently several others have felt the same way, for
134. they have prepared, or are in the process of preparing, catalogs which
135. include descriptions of each of the viruses.  My goal is more modest:
136. to simply *list* them.  And that's far from easy considering that
137. lately I hear of at least one new virus every week (and, of course,
138. there may be many which I haven't heard of).  Anyway, here's what I've
139. got so far, arranged in (hopefully) chronological order.
140.  
141.                          PC-DOS/MS-DOS Viruses
142.                          =====================
143.  
144.                                 Min # of
145.     Names                       Strains  Type         First Appearance
146.     -----                       -------  ----         ----------------
147.  1. Brain, Pakistani                  7  Boot sector         Jan  86
148.  2. Merritt, Alameda, Yale            7  Boot sector         Apr? 87
149.  3. South African, Friday 13th        2  COM D                    87
150.  4. Lehigh                            2  COMMAND.COM         Nov  87
151.  5. Vienna, Austrian                  2  COM D 648           Dec? 87
152.  6. Israeli, Friday-13, Jerusalem     9  COM/EXE R 1813/1808 Dec  87
153.  7. April-1-Com                       1  COM R 897           Jan  88
154.  8. April-1-Exe                       1  EXE R 1488          Jan  88
155.  9. Ping-Pong, Bouncing-Ball, Italian 2  Boot sector         Mar  88
156. 10. Dos-62, Unesco                    2  COM D               Apr  88
157. 11. Marijuana, Stoned, New Zealand,   2  Boot sector;       Early 88
158.                            Australian    partition record on hard disk
159. 12. Cascade, Autumn, Blackjack        6  COM R 1701/1704  Sep 88 (87?)
160. 13. Agiplan                           1  COM 1536            Oct  88
161. 14. Oropax, Music                     1  COM RD 2756 to 2806 Feb  89
162. 15. Venezuelan, Den Zuk, Search       6  Boot sector        Early 89?
163. 16. dBASE                             1  COM/EXE R           Mar  89
164. 17. DataCrime                         2? COM D 1168 (1280?)  Mar  89
165. 18. Missouri                          1  ?                   Apr  89
166. 19. Nichols                           2? Boot sector             ?
167. 20. 405                               1  COM DO 405          Apr? 89
168.                                      --
169. Total # of strains                   58
170.  
171. Notes:
172.   1. In the "Type" column, "COM" or "EXE" indicates the type of files
173. infected.  "R" stands for "resident", meaning that when an infected
174. program is run the virus makes itself RAM-resident (hooking one or
175. more interrupts); usually such a virus infects each subsequently
176. executed program (of the appropriate type, e.g. COM files). "D" stands
177. for "direct", meaning that it searches the disk for an uninfected file
178. and infects it; normally such a virus does not stay resident.  (How-
179. ever, it is possible for a virus to be both resident and direct in
180. this sense, as in the case of the Oropax.)  "O" indicates that the
181. virus overwrites the beginning of the file instead of appending or
182. prepending itself to it.  The number(s) after the "R" or "D" indicate
183. the number of bytes by which the virus extends files which it infects;
184. the number after the "O" is the number of bytes overwritten.
185.   2. I include only those viruses which have spread publicly, as
186. opposed to localized test viruses (of which there may be hundreds).
187.   3. Questionable cases: (a) Although I have included the dBASE virus
188. reported by Ross Greenberg, Jim Goodwin claims that it does not repli-
189. cate and hence is not a virus.  But it's possible that Jim and Ross
190. are talking about two different things.  (b) Similarly, I have heard
191. of spreadsheet viruses which occasionally change a value by a small
192. amount, but I have not included them in the table.  Jim says that the
193. Lotus 123 virus does not replicate either, but again it's possible
194. that he's speaking of something else.
195.  
196.   A difficult question is when to say that two given viruses are
197. (a) distinct viruses, (b) different strains of the same virus, or (c)
198. the same strain of the same virus.  I have adopted the following rule:
199. If one virus has apparently been obtained from the other by improving
200. the code in some sense, then we have case (b).  If the code is the
201. same, and the only differences are messages or other strings, then we
202. have case (c).  However, if something which makes a more important
203. difference in the behavior, such as the target date or the triggering
204. value of the number of infections, has been changed, then I classify
205. it as case (b).  Otherwise (i.e. if the code is significantly differ-
206. ent), we have case (a).
207.  
208.   I'm sure there will be disagreements with my table on certain points,
209. particularly the dates.  In any case, corrections and additions are
210. welcome.  (Please send your corrections directly to me; I'll post an
211. updated version of this table whenever the need arises.)
212.  
213.   For those interested in descriptions of these viruses, 11 of them
214. are described in Jim Goodwin's catalog.  (He says that his catalog
215. describes 48 viruses, but he is counting each strain of each virus
216. separately.)  Dave Ferbrache has rearranged Jim's catalog so that all
217. strains of the same virus are grouped together.  He has also added a
218. few more viruses and made the resulting document available on the
219. Heriot-Watt server.
220.   There are several additional catalogs in existence or in prepara-
221. tion.  One is currently being prepared by the Virus Test Center at the
222. Univ. of Hamburg under the direction of Prof. Klaus Brunnstein.  An-
223. other is being prepared by David Ferbrache (his will include algo-
224. rithms or pseudo-code for each of the viruses).
225.  
226.   Finally, acknowledgments:  Since I have only 7 viruses in my posses-
227. sion at present, I have obviously had to draw on information provided
228. by others.  Postings in VIRUS-L are too numerous to mention individual
229. names, but among those who have corresponded with me personally, I
230. would like to thank Dave Ferbrache, Alan Solomon, Klaus Brunnstein,
231. Bernd Fix, and Otto Stolz.
232.  
233.                                            Y. Radai
234.                                            Hebrew Univ. of Jerusalem
235.  
236. ------------------------------
237.  
238. End of VIRUS-L Digest
239. *********************
240. Downloaded From P-80 International Information Systems 304-744-2253
241.